行业新闻与博客
Bug Bounties 付费用于深度测试,而较少用于传统缺陷
今年报告的漏洞数量和每个漏洞的漏洞奖金支出都有所增加。
根据 Bugcrowd 的 2019 年众包安全状况报告,去年报告的漏洞总数增加了 92%,而每个漏洞的平均支付额今年增加了 83%。
Bugcrowd 表示,更多行业正在采用众包安全计划,众包笔测试和漏洞披露“正在以惊人的速度增长,多年来运行计划的公司数量导致公共计划数量显着增加。”
Bugcrowd 的 CSO 兼运营副总裁 David Baker 告诉 Infosecurity,“这既是一件好事,又证明总有更多的漏洞可以找到。”
“更多的错误不是缺乏测试或 SDLC [软件开发生命周期] 不好的结果,而是转向云,推向移动应用和采用物联网,”他说。“最终,人群发现越来越多的 P1 意味着这些关键错误正在被更快地识别和解决。发现错误是件好事; 通过更好的进攻来促进更好的防守是一项伟大的 SDLC 战略。“
Bugcrowd 还表示,关键漏洞的平均支出达到了 2,669.92 美元,比去年增加了 27%。然而,它声称“研究人员不再追求像 XSS,CSRF 和 SSI 这样的东西,因为今天许多扫描仪很容易找到它们”,现在正在进行深度测试,导致过去五大漏洞年份:
- 访问控制中断
- 敏感数据暴露
- 服务器安全性配置错误
- 身份验证和会话管理中断
- 跨站脚本
说起Infosecurity,卢塔安全 CEO 凯蒂 Moussouris 说,“被破坏的访问控制”是一个很宽泛的类别“那绝对仍然可以量化为低挂水果”,如果一个组织的地方没有认证在所有的资产或 API,这是一个简单的错误,根本不表示更深层次或更复杂的错误。“同样适用于导致数据暴露的信息披露结果,该列表中的第二个。”
Moussouris 表示,即使是具有大量一般流程成熟度和强大安全开发生命周期的组织,也会出现基本的 XSS 漏洞,特别是在第三方开发的网站中。
“问题的实际情况是,虽然 bug 赏金狩猎可以提供帮助,”她说,“组织不能使用它们或任何其他外部测试机制作为复选框来原谅自首,以防止常见的类错误,如身份验证错误。”
Moussouris 接着说,主要是一些组织认为 bug 赏金“作为一种看起来很忙并且在安全性方面做出反应的方式,当它实际上掩盖了潜在的安全疏忽”时,最常见于 bug 赏金中的 bug 类仍然在较低层次。复杂的结束。
“大多数组织应该积极尝试自己预防和发现这些,而不是将他们的检测外包给错误赏金的运气。”
非常感谢您对亚洲注册的支持与信任!
禁止转载
最近新闻
2024年11月12日
2024年11月12日
2024年11月12日
2024年11月12日
2024年10月28日
2024年10月28日
2024年10月28日
2024年10月28日
需要帮助吗?联系我们的支持团队 在线客服